Partilhar via

  • Artigo

Segurança dos Serviços de Recolha de Auditorias

 

Publicado: março de 2016

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

No System Center 2012 – Operations Manager, os Serviços de Recolha de Auditorias (ACS) requerem autenticação mútua entre o recoletor dos ACS e cada reencaminhador dos ACS. Por predefinição, a autenticação do Windows, que utiliza o protocolo Kerberos, é utilizada para esta autenticação. Após a conclusão da autenticação, todas as transmissões entre reencaminhadores dos ACS e o recoletor dos ACS estão encriptadas. Não necessita de ativar encriptação adicional entre os reencaminhadores dos ACS e o recoletor dos ACS, exceto caso pertençam a diferentes florestas do Active Directory, que não tenham fidedignidade estabelecida.

Por predefinição, os dados não são encriptados entre o recoletor dos ACS e a base de dados dos ACS. Caso a organização requeira um nível mais elevado de segurança, pode utilizar o Secure Sockets Layer (SSL) ou o Transport Layer Security (TLS) para encriptar todas as comunicações entre estes componentes. Para ativar a encriptação SSL entre a base de dados dos ACS e o recoletor dos ACS, tem de instalar um certificado no servidor da base de dados e no computador que aloja o serviço do Recoletor dos ACS. Após instalar estes certificados, configure o cliente SQL no recoletor dos ACS para forçar a encriptação.

Para obter mais informações sobre a instalação de certificados SSL ou TLS, consulte SSL and TLS in Windows Server 2003 (SSL e TSL no Windows Server 2003) e Obtaining and installing server certificates (Obter e instalar certificados de servidor). Para obter uma lista dos passos para forçar a encriptação num cliente SQL, consulte How to enable SSL encryption for SQL Server 2000 if you have a valid Certificate Server (Como ativar a encriptação SSL no SQL Server 2000 se tiver um Servidor de Certificados válido).

Acesso Limitado a Eventos de Auditoria

Os eventos de auditoria escritos num registo de Segurança podem ser acedidos pelo administrador local, mas os eventos de auditoria tratados por ACS, por predefinição, não permitem que os utilizadores (incluindo utilizadores com direitos administrativos) acedam a eventos de auditoria na base de dados dos ACS. Se for necessário separar a função de um administrador da função de um utilizador que visualiza e efetua consultas na base de dados dos ACS, pode criar um grupo para auditores da base de dados e depois atribuir a esse grupo as permissões necessárias para aceder à base de dados de auditoria. Para obter instruções passo a passo, consulte Como instalar os serviços de coleta de auditoria (ACS).

Comunicação Limitada para Reencaminhadores dos ACS

As alterações de configuração ao reencaminhador dos ACS não são permitidas localmente, mesmo a partir de contas de utilizador que têm direitos de administrador. Todas as alterações de configuração efetuadas a um reencaminhador dos ACS devem provir do recoletor dos ACS. Para segurança adicional, após efetuar a autenticação junto do recoletor dos ACS, o reencaminhador dos ACS fecha a porta TCP de entrada utilizada pelos ACS, para que sejam permitidas apenas comunicações de saída. O recoletor dos ACS deve terminar e, em seguida, restabelecer um canal de comunicação para efetuar quaisquer alterações de configuração a um reencaminhador de ACS.

Reencaminhadores de ACS Separados do Recoletor dos ACS por uma Firewall

Devido à comunicação limitada entre um reencaminhador de ACS e um recoletor dos ACS, é necessário abrir apenas a porta TCP de entrada 51909 numa firewall para ativar um reencaminhador de ACS, separado da rede por uma firewall, para alcançar o recoletor dos ACS.